BC / NW 2009; №2 (15): 11 . 4
АНАЛИЗ СРЕДСТВ РАЗГРАНИЧЕНИЯ ДОСТУПА К ОБЪЕКТАМ В ОПЕРАЦИОННЫХ СИСТЕМАХ MICROSOFT WINDOWS И LINUX
Хорев П.Б.
(ГОУВПО «Московский энергетический институт (технический университет)», Россия)
Основу политики безопасности для компьютерной системы любой организации составляют правила разграничения доступа к объектам компьютерной системы. Разграничение доступа к компьютерным ресурсам базируется на различных моделях управления доступом. В данном докладе будут представлены результаты сравнительного анализа средств разграничения доступа к объектам операционных систем Microsoft Windows и Linux .
Дискреционная модель разграничения доступа предполагает назначение каждому объекту списка контроля доступа, элементы которого определяют права доступа к объекту конкретного субъекта. Правом редактирования дискреционного списка контроля доступа обычно обладают владелец объекта и администратор безопасности. Эта модель отличается простотой реализации, но возможна утечка конфиденциальной информации даже в результате санкционированных действий пользователей.
Мандатная модель разграничения доступа предполагает назначение объекту метки (грифа) секретности, а субъекту – уровня допуска. Доступ субъектов к объектам в мандатной модели определяется на основании правил «не читать выше» и «не записывать ниже». Использование мандатной модели, в отличие от дискреционного управления доступом,предотвращает утечку конфиденциальной информации, но снижает производительность компьютерной системы.
Ролевая модель разграничения доступа основана на конструировании ролей и назначении их пользователям на основании выполняемых ими конкретных должностных обязанностей. При назначении и использовании ролей возможно наложение динамических и статических ограничений на совмещение разных ролей одним субъектом, одновременное использование одной роли разными субъектами и т.п. Подобный подход к разграничению доступа к объектам позволяет разделить обязанности между конструктором ролей и диспетчером ролей, а также более точно связать права доступа пользователей к объектам компьютерной системы с их обязанностями в организации, исключить избыточность полномочий.
В операционных системах Microsoft Windows и операционных системах клона Unix обычно применяется дискреционное управление доступом к объектам. Объекты разграничения доступа в Windows имеют дескриптор безопасности, содержащий информацию о владельце объекта (его идентификаторе безопасности SID , Security Identifier ) и дискреционном списке управления доступом к объекту (Discretionary Access Control List , DACL ), правом редактирования которого обладают владелец объекта и администратор. Владелец файла может лишить администратора права изменения разрешений на доступ к объекту. Администратор обладает специальной привилегией смены владельца на другого пользователя, обладающего такой же специальной привилегией (например, на самого себя).
Разграничение доступа к файлам и папкам возможно с помощью Проводника Windows (вкладки Безопасность функций Свойства контекстного меню выделенного объекта), принтеру – с помощью функции Принтеры и факсы Панели управления (вкладки Безопасность функции Свойства выделенного принтера), реестру Windows – с помощью Редактора реестра regedit .exe (функции Разрешения контекстного меню выделенного раздела).
Права доступа к объектам в операционной системе Windows делятся на специальные, стандартные (общие) и родовые (generic ). Специальные права зависят от типа объекта разграничения доступа. Например, к файлам и папкам могут применяться следующие специальные права:
- обзор папок (выполнение файлов);
- содержание папки (чтение данных из файла);
- чтение атрибутов;
- чтение дополнительных атрибутов;
- создание файлов (запись данных в файл);
- создание папок (дозапись данных в файл);
- запись атрибутов;
- запись дополнительных атрибутов;
- удаление подпапок и файлов (только для папок).
Стандартные права доступа к объектам операционной системы Windows не зависят от типа объекта. Определены следующие стандартные права доступа;
- удаление;
- чтение разрешений;
- смена разрешений (для реестра это право названо Запись DAC );
- смена владельца;
- синхронизация (для реестра это право названо Уведомление).
Каждое из родовых разрешений представляет собой логическую группу специальных и стандартных разрешений. Например, для файлов и папок родовое право доступа «Изменение» включает все разрешения кроме «Удаление подпапок и файлов», «Смена разрешений» и «Смена владельца».
Существующий в Windows механизм наследования облегчает администраторам задачи назначения разрешений и управления ими. Благодаря этому механизму разрешения, установленные для контейнера, автоматически распространяются на все объекты этого контейнера. Например, файлы, создаваемые в папке, наследуют разрешения этой папки.
Если требуется предотвратить наследование разрешений, при настройке особых (отличающихся от родовых) разрешений на доступ к родительской папке (разделу реестра) можно выбрать режим «Применять эти разрешения к объектам и контейнерам только внутри этого контейнера» . В случаях, когда необходимо отменить наследование разрешений только для некоторых файлов или подпапок (подразделов реестра), можно отменить режим «Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне».
Запрещение права доступа имеет более высокий приоритет, чем его разрешение, если только объект не наследует от различных папок противоречащие друг другу значения этих параметров. В таких случаях в силу вступает значение, унаследованное от родительского контейнера, ближайшего к объекту в иерархической структуре. Дочерние объекты наследуют только наследуемые разрешения.
К вновь созданным в сеансе пользователя объектам права доступа в Windows назначаются одним из следующих способов:
1. На основе явно заданного субъектом (управляемой пользователем программой) и корректного по форме дескриптора безопасности (например, при вызове системных функций CreateFile или CreateDirectory при создании файлов или папок);
2. На основе механизма наследования (если при создании объекта дескриптор безопасности не задается);
3. Из полученного при начале сеанса маркера доступа субъекта, создающего объект (если наследование невозможно).
Индекс файла в Linux содержит информацию о владельце файла (его идентификаторе, User Identifier , UID ), его первичной группе (идентификаторе группы, Group Identifier , GID )и векторе доступа к файлу. В отличие от Windows вектор доступа в Linux состоит всегда из трех элементов, определяющих права доступа к объекту трех категорий субъектов (владельца, членов его группы и всех остальных). Суперпользователь в Linux имеет полные, никем не ограничиваемые права доступа к любому объекту.
В Linux существуют только три права доступа – чтение, запись и выполнение. Для каталогов право чтения означает разрешение на просмотр содержания каталога, право записи – разрешение создания, добавления и удаления файлов в каталоге, право выполнения – разрешение на поиск файла в каталоге по его имени.
Ограниченность прав доступа к объектам в ОС Linux вынуждает использовать так называемые дополнительные биты доступа в каждой из его частей:
- SUID (дополнительный бит доступа в подвекторе прав владельца). Обеспечивает выполнение файла с правами не пользователя, а владельца файла (необходимо, например, для предоставления права записи в файл учетных записей /etc /passwd непривилегированному пользователю при смене им своего пароля).
- SGID (дополнительный бит в подвекторе прав членов группы владельца файла). Обеспечивает выполнение файла с правами не пользователя, а членов группы владельца файла.
- Sticky (дополнительный бит в подвекторе прав всех остальных пользователей). Запрещает удаление и переименование в общем каталоге файлов, созданных другими пользователям.
Управлять значением вектора доступа к вновь созданным в сеансе пользователя файлам в ОС Linux администратор может с помощью системной переменной umask , значение которой может устанавливаться в файлах пользователей.login , .cshrc или.profile либо в системном файле / etc / profile . Значение umask определяет сбрасываемые биты в элементах вектора доступа к создаваемому объекту.
Сравнивая реализацию дискреционного разграничения доступа к объектам в операционных системах Microsoft Windows и Linux , можно отметить следующее:
- Использование привилегии администратора Windows «Овладение файлами или иными объектами» более безопасно, чем работа в Linux с правами суперпользователя , но менее удобна с точки зрения простоты администрирования.
- Большое количество разнообразных прав доступа к объектам в Windows увеличивает гибкость механизма управлении доступом, но повышает риск ошибочного наделения пользователя или группы избыточными правами доступа.
- В Linux администратору проще управлять правами доступа к объектам, создаваемым пользователем в ходе своей работы в системе.
- В Windows возможно назначение индивидуальных прав доступа к объекту для любого отдельно взятого пользователя или группы.
В расширении подсистемы разграничения доступа к файлам для операционной системы Linux − Linux ACLs – реализована возможность настроить индивидуальные права доступа к файлам «с точностью» до отдельного пользователя.
В расширении базовой модели безопасности операционной системы Linux (Security-Enhanced Linux − Linux с улучшенной безопасностью, SELinux ) реализовано мандатное разграничение доступа к объектам в рамках модели домен-тип . В этой модели каждый процесс запускается в определённом домене безопасности (с определенным уровнем допуска), а всем объектам ставится в соответствие определённый тип (метка секретности).
Список правил, ограничивающих возможности доступа доменов к типам, называется политикой и задаётся один раз в момент установки системы. Описание политики в SELinux − это набор текстовых файлов, которые могут быть скомпилированы и загружены в память ядра Linux при запуске системы.
Возможности SELinux по управлению доступом значительно превосходят возможности базовых прав Unix . Например, можно строго ограничить номер сетевого порта, с которым будет связан сетевой сервер или разрешить создание и запись в файл, но не его удаление. Это позволяет ограничить системные службы с помощью явно заданного набора существующих прав.
Поддержка ролевого разграничения доступа включена в серверные операционные системы Windows и в серверную операционную систему ALT Linux Castle . Программисты и администраторы Windows -систем могут использовать преимущества ролевого разграничения доступа к объектам с помощью оснастки Диспетчер авторизации (Authorization Manager ) .
В соответствии с реализованной в ОС ALT Linux Castle ролевой моделью управления доступом определяются роли и типы, а затем определяется, что может делать та или иная роль с тем или иным типом . Таким образом, создается некоторая абстрактная модель, которая затем связывается к реальным пользователям, программам и файлам. Независимость модели от реальных субъектов и объектов позволяет производить мгновенную перенастройку политики безопасности быстрым изменением связей ролей и (или) типов. Кроме того, это очень удобно для создания готовых решений, например, распределения ролей и типов для защиты содержимого страниц Web-узла. Интересной особенностью является возможность запуска программ с ролью, отличной от роли пользователя, производящего запуск. В результате можно, например, произвести такие настройки, что прямой доступ к диску будут иметь только разрешенные программы, а все остальные пользователи системы (включая администратора) будут лишены такой возможности.
В докладе представлены результаты сравнительного анализа средств разграничения доступа к объектам ОС Windows и Linux . Показаны достоинства и недостатки реализаций дискреционного разграничения доступа в этих ОС, возможности ролевого управления доступом, появившиеся в их серверных версиях.
Литература
1. SELinux : теория и практика безопасности. http://www.interface.ru/ home.asp?artId=2699.
2. Хорев П.Б. Ролевое управление доступом к ресурсам в операционной системе Microsoft Windows Server 2003. Труды XVI международной научно-технической конференции «Информационные средства и технологии». В 3 томах. Т. 2. М.: Издательский дом МЭИ, 2008. С. 80-88.
3. ALTLinux Castle . Общиесведения. http://www.linuxcenter.ru/ lib/articles/distrib/altlinux/castle.phtml .
Очень часто случается так, что вы хотите ограничить доступ к своему домашнему Wi-Fi, но до этого он стоял без пароля и теперь немало посторонних граждан могут абсолютно просто и дальше им пользоваться, но, с вашей точки зрения, это не есть хорошо. Сейчас мы рассмотрим, что делать и как ограничить количество подключений по Wi-Fi или, например, даже отключать отдельных пользователей. Все действия и примеры мы будем рассматривать на основе интерфейса TP-Link.
Как исключить нежелательных пользователей
Начнем мы с того, что вы запросто можете определить, кто сидит в вашей сети. Для этого нам следует сразу же пройти во вкладку «DHCP» и найти подпункт «DHCP Clients List». Если вы видите, что явно несколько устройств подключено лишних, то смотрим их MAC-адреса, а затем идем дальше.
Ограничение доступа
Чтобы ограничить доступ к Wi-Fi какому-либо пользователю, мы находим слева в списке «Wireless Mac Filtering» как подпункт к «Wireless». На новой странице, как и показано на скриншоте, нужно нажать «Enable», чтобы активировать функцию, а далее мы уже будем ее настраивать, как нужно.
Теперь все очень просто – в верхнюю строку вводим MAC-адрес, который хотим «отсечь», и чуть ниже выбираем «Enabled», а затем сохраняем настройки.
Теперь вы знаете, как отключить пользователя от Wi-Fi. Вы в любой момент можете удалить это исключение или отредактировать его.
Установка пароля
Делаем мы это именно в таком порядке по одной простой причине – роутеры, которые имеют стандартные данные для входа в настройки и свободный доступ, скорее всего, могут в любой момент быть перенастроены посторонними людьми. Если это уже случилось и вы не можете войти, то на устройствах этой фирмы есть кнопка «Reset», зажав которую на 10 секунд, вы сбросите все настройки до заводских. Потом придется настраивать все по новой, но это единственный способ вырвать ваш Wi-Fi из рук недобросовестных граждан.
Идем в раздел «System Tools» и там находим подпункт «Password». Войдя в него, вводим свои старые данные, которые, как мы знаем, admin в обоих полях, затем чуть ниже вводим новый логин и два раза новый пароль, после чего сохраняем.
Теперь осталось активировать пароль для устройства. Переходим в раздел «Wireless Security» и выбираем нужное шифрование для защиты, а затем вписываем пароль и сохраняемся. Этот метод поможет раз и навсегда заблокировать Wi-Fi для других пользователей.
Зачастую, возникают ситуации, когда необходимо закрыть доступ не к сети, а лишь к одному или нескольким сайтам. Причины могут быть самые разные: возможно, данный сайт мешает заниматься работой, или же ребенок частенько находиться в соц.сетях. Cуществуют разные способы как ограничить доступ к сайтам, ниже мы разберем лишь те, которые не требуют вмешательства сторонних программ.
Как заблокировать сайт с помощью файла hosts
Файл hosts располагается в корне системы, в задачи данного файла также входит ограничение тех сайтов, которые Вы не хотите просматривать. В разбор прочих функций, которыми располагает файл hosts, мы не будем углубляться, и сконцентрируемся исключительно на блокировке сайтов.
1. Первоначально, нужно найти, в какой директории находиться данный файл. Через меню Пуск открываем «Мой компьютер». Далее открываем тот локальный диск, в котором установлена операционная система (по умолчанию, это диск С). Начинаем искать папку «Windows», после открытия переходим в папку «System32», затем «drivers», и последнюю папку «etc». В ней и располагается требующийся нам файл hosts.
2. Следующим шагом станет запуск данного файла, нажав по нем двойным щелчком мыши. Осуществляется это с помощью обыкновенного блокнота, т.е. в окошке «Выбор программы» который нам выдаст Windows, необходимо выбрать программу «Блокнот».
Когда ОС откроет файл блокнотом, мы увидим подобную картину:
3. Затем начинается самое интересное: ставим курсор мыши на последней строчке (в нашем случае в конце слова localhost) и нажимаем Enter. Должно получиться так:
4. Прописываем «127.0.0.1» (без кавычек), и нажимаем табуляцию (Tab), после чего картина сложится следующим образом:
5. Остается лишь дописать URL адрес сайта, который необходимо ограничить. Вводить URL нужно сразу после нажатия клавиши Tab. Допустим, если нужно закрыть доступ к соц.сети в контакте, то просто дописываем адрес ресурса vk.com. Аналогичным образом прописываются и остальные сайты, доступы которых необходимо внести в список ограничений, после чего внесенные изменения нужно сохранить.
Что же делать, если у меня 64-х разрядная система?
В этом случае, придется действовать несколько по-другому, т.к. файл hosts по вышеописанной директории найти не получится. Тут можно выполнить поиск по директории C:\Windows
после чего кликнув правой кнопкой мыши, выбрать в подменю пункт «Расположение файла»
либо же через директорию C:\Windows найти папку «winsxs», и в ней попытаться найти папку «amd64_microsoft-windows-w..nfrastructure-other_31bf3856ad364e35_6.1.7600.16385_none_6079f415110c0210», в которой и находиться требующийся нам файл. Но т.к. данный метод наиболее кропотливый, лучше всего использовать поиск.
После чего выполняем 2-5 пункты, описанные выше, алгоритм действий здесь ничем не отличается, и выполняются в точности как и в 32-х разрядной системе.
Блокировка сайтов по IP-адресам
Большинство пользователей, желая ограничить доступ того или иного ресурса (или даже рекламу) прибегают к поискам разного рода программ. Но не многие знают, что ту же саму блокировку по IP-адресу можно произвести и с помощью обычных средств, установленных по умолчанию в операционной системе. Осуществить данную операцию можно с помощью обыкновенного брандмауэра, который есть в каждом компьютере.
1. Для начала, открываем Брандмауэр Windows, найти его можно следующим способом: кликнув правой кнопкой мыши в нижнем, правом углу экрана, где расположено сетевое подключение, и выбрав пункт в подменю «Центр управления сетями и общим доступом»:
2. В открывшимся окне, в нижнем левом углу находим «Брандмауэр Windows», и кликаем по ней:
3. В том же левом подменю, выбираем пункт «Дополнительные параметры»:
4. Откроется окно, это и есть Брандмауэр Windows, в котором мы будем прописывать наши IP-адреса. Он будет иметь следующий вид:
5. Структура Брандмауэра проста и логична: слева перечислены пункты действий, а справа настройки тех самых пунктов. Итак, слева выбираем «Правила для входящих подключений», а справа щелкаем «Создать правило»:
7. В следующем шаге необходимо выбрать пункт «Все программы»:
8. В данном этапе все остается без изменений – кликаем на кнопку «Далее»:
9. В нижней части окна, в которой ОС просит указать удаленные IP-адреса, выбираем пункт «Указанные IP-адреса». Для того что бы вставить нужный адрес нажимаем кнопку “Добавить”
10. В поле “IP-адрес или подсеть” вписываем нужную запись и подтверждаем действие кнопкой “OK”
11. После этого в окне появится запись. Таким способом можно добавить несколько адресов.
Тем, кто не разу не выявлял IP-адрес сайта, можно воспользоваться разного рода сервисами, позволяющим узнать IP-адрес сайта довольно быстро, в пару кликов. К примеру, подойдет сервис 2ip, являющимся надежным и проверенным ресурсом – http://2ip.ru/lookup/
13. Выбираем нужные нам профили (в нашем случае, все) и жмем на ту же кнопку «Далее»:
14. Вбиваем произвольное «имя» по своему желанию, и нажимаем «Готово»:
15. Возвращаемся к Брандмауэру и проделываем шаги 6-14, только уже для пункта «Правила для исходящих подключений», находящемуся также, слева:
16. Вот и все. Остается только проверить, как работает защита, осуществив попытку зайти в заблокированный нами сайт. Если зайти на страничку не получается, то все настройки выполнены правильно.
К слову, как уже упоминалось, данный способ приемлем не только для ограничения доступа к сайтам, но и также к разного рода рекламам, всплывающим баннерам, и.т.п. Все что нужно, это внести IP-адрес в Брандмауэр Windows.
Ограничение доступа через Интернет-браузер
Заблокировать доступ к сайтам можно осуществив и через Интернет-браузер, но это потребует установку дополнительного расширения. Для таких целей идеально подойдет дополнение Block site, позволяющий ограничить отображение нежелательных страниц. Данное расширение входит в комплект дополнений популярных браузеров, но здесь мы разберем процесс блокировки сайта на Mozilla Firefox.
1. Открываем Mozilla Firefox, и в верхнем, правом углу экрана клацаем на кнопку «Открыть меню», и в выпавшем меню, выбираем пункт «Дополнения»:
2. Вбиваем в поисковик Block site, и сверяясь со скриншотом, запускаем инсталляцию дополнения:
3. После установки расширения, браузер необходимо перезапустить, чтобы изменения вступили в силу. Осуществить перезапуск также можно, нажав на команду «Перезапустить сейчас» (кнопка появится после инсталляции дополнения):
4. Когда Mozilla Firefox перезапуститься, откроется вкладка с благодарностью, касательно установки расширения. Кликаем «Agree and continue»:
5. Расширение включено и готово к использованию. Для того, чтобы внести сайт в список запрещенных, можно либо кликнув правой кнопкой мыши, находясь на сайте, которые необходимо заблокировать, и выбрав пункт «Block this site»
либо же, в окне расширения, добавив в поле нежелательный сайт. Добавление в черный список производится кнопкой «Add», удаление осуществляется, соответственно, с помощью кнопки «Remove» (чтобы открыть список дополнений, необходимо в верхнем, правом углу экрана выбрать «Открыть меню», далее «Дополнения», в обозначении поиска выбрать «поиск среди: моих дополнений»):
Вот, пожалуй, и все. Данные способы являются самими распространенными и эффективными, если возникнет необходимость в срочном порядке закрыть доступ к тому или иному сайту.
Когда для детей, сотрудников или других пользователей необходимо ограничить доступ в интернет, тогда на помощь приходит специальное программное обеспечение. Подобными полезными характеристиками обладают такие пакетные продукты как Norton или Kaspersky Internet Security, а также множество специализированных программ: iadmin, NetPolice, Outpost, NetLimiter. Но у пользователей Windows Vista все необходимые средства ограничения доступа в интернет всегда под рукой.
Вам понадобится
- подключение к интернету, ОС Windows Vista.
Инструкция
Потом, не выходя из раздела «Учетные записи», зайдите в подраздел «Задание родительских элементов управления». Выберите только что созданного пользователя и включите «Родительский контроль». Теперь можете настраивать группу «Ограничения пользования интернетом», где можно запретить использование определенных интернет ресурсов и скачивание файлов.
Если необходимо ограничить доступ по времени, то необходимо воспользоваться функцией «Time Restrictions». Этот раздел содержит своеобразный график-сетку, где на каждый день недели можно поставить блокировку по часам.
Вам понадобится
- - программное обеспечение ESET Smart Security.
Инструкция
Еще одна актуальная тема для заботливых родителей — это ограничение времени проводимого ребенком в интернете.
Просто и несложно, без затрат, способ решения проблем, который я предпочитаю.
При поиске способов ограничения детей от постоянного пребывания в сети, интернет мне предложил меры от установки на компьютер специальных программ либо антивирусных пакетов с этой функцией, выдергивания проводов от ПК, до мер административного воздействия «ремень».
Каждый из вариантов имеет свои достоинства и недостатки и каждый из них не идеален. В случае программ — это материальные затраты и настройка программ, в случае административных и физических воздействий — родительские нервы ибо удовольствия такие методы — не приносят.
Огромный недостаток предлагаемого программного обеспечения(ПО) — это работа только на том устройстве, на котором оно установлено. Т.е. на устройстве принадлежащем ребенку и к которому он имеет доступ более чем его родители, в том числе и для попыток изменить настройки ПО либо удалить его вовсе, а иногда решающей может оказаться цена запрашиваемая за такое ПО.
Большое количество устройств с различными операционными системами, с поддержкой выхода в интернет превосходит возможности предоставляемые разработчиками ПО (Например одновременная работа ПО на ОС Windows, ОС Linux, Java, Android, iOS), так же как и желание родителей — настроить «ограничение интернета» на всех устройствах в домашней сети.
Так же неудобства в «век потребления и победы маркетологов» может принести и появление в домашней сети новых устройств, на которые ограничивающее ПО поставить не получится либо в силу отсутствия желания разбираться самих родителей, либо из-за новизны устройства, блокирующего ПО на него может и не быть.
В моей домашней сети, 12 устройств имеют доступ в интернет: телефоны, планшеты, ноутбуки, стационарный ПК, поэтому проблема легкости настройки и управления весьма актуальна. При этом замечено, что сейчас компьютер без подключенного интернета детям — мало интересен.
Метод, который я предлагаю заключается в настройке домашнего роутера, на примере роутеров TP-Link, имеющих даже в самых дешевых исполнениях данную функцию.
Преимущества данного метода:
- Роутер часто является единственным способом выхода в сеть интернет для всех без исключения устройств домашней сети (за исключением случаев подключения тарифов интернета от сотовых операторов на смартфоны или планшеты с такой функцией). Т.е. настроив всего один роутер, вы будете контролировать все устройства разом
- Роутеру в работе, безразлично ПО установленное на устройствах
- Роутеру безразлично появление новых устройств
- Роутеру безразличен «перевод часов» на ПК, чтобы отсрочить блокировку
- Роутер настраивается разово, с установкой сложного пароля на вход на роутер. Также логин и пароль для подключения к интернету — стоит хранить в тайне
- Настроив роутер, вы можете сохранить ваши настройки в отдельный файл —
- При использовании сложного пароля на роутер, роутер можно только сбросить, при этом будут стерты все настройки подключения к сети интернет. Без знания логина и пароля от провайдера, на подключение к интернету, роутер будет просто железякой
- Вход на роутер выполняется только для настройки или изменения настроек. Происходит это очень редко, шанс подсмотреть и запомнить пароль — минимален
- Факт сброса настроек роутера и отсутствия интернета «везде» — скрыть тяжело
- Восстановить настройки интернета и внесенных вами изменений «родительского контроля» из файла резервной копии, занимает около одной минуты, из них 50 секунд — это процесс перезагрузки роутера
- Если ребенок все таки сможет незаметно для родителей обойти все указанные варианты, то у него получены не самые бесполезные знания в его жизни. 🙂
- Так же изменение стандартного логина и пароля на роутер, защитит о части злоумышленников с интернета, методом перебора находящих роутеры с обычными паролями из сети интернет
Нивелирование недостатков, дело самих родителей:
- Зная логин и пароль на роутер, можно отменить сделанные изменения (поэтому пароль и логин, стоит хранить в надежном месте)
- Зная логин и пароль на интернет, можно сбросить роутер и вновь настроить доступ к интернету (на роутер заходят очень редко, факт сброса можно не замечать очень долго)
Ну а самое главное в любой защите — не указывать, с помощью какого способа вы это сделали .
Роутеры фирмы TP-Link имеют функцию Фильтрация IP-адресов, через настройку которой мы и будем ограничивать доступ устройств к сети интернет.
Причем мы не будем создавать большой список устройств, которые нужно ограничивать в использовании интернета. Мы создадим «белый список» из 3 устройств с разрешенным круглосуточным доступом, а любое другое устройство не из этого списка будет иметь лимитированный доступ по времени к сети интернет.
В примере будет рассмотрено прекращение доступа детей к интернету с 10 часов вчера до 7 утра, но на основе этих знаний, вы можете добавить правила например для прекращения доступа в обеденное время, что сподвигнет ребенка «не забыть покушать» или выполнение каких-то домашних дел.
Пример не требует высокого уровня компьютерной грамотности, снабжен пояснениями и не сложен.
Перед началом настройки выполните следующие действия:
Настройка роутера TP-Link
Настройка DHCP и резервирования адресов
MAC адрес — уникальный идентификатор, присваиваемый сетевой карте устройства. МАС адрес — постоянный и индивидуальный для каждого устройства.
В данном примере МАС адреса 1,2,3 устройства мне известны и принадлежат устройствам, доступ к сети интернета которым не должен быть ограничен.
Всем остальным устройствам 4-10 мы будем ограничивать время нахождения в сети Интернет.
Копируем/записываем/запоминаем MAC адреса устройств с ID 1-3. Эти устройства будут иметь постоянный и фиксированный адрес в домашней сети.
Графа назначенный IP-адрес показывает нам диапазон адресов нашей домашней сети — 192.168.0.N . Где N — число в диапазоне от 1 до 254, по умолчанию DHCP начинает выдавать адреса начиная с 100, т.е. начиная адресацию с IP: 192.168.0.100.
Изображение 1. Список устройств получивших адрес от службы DHCP роутера TP-Link
Переходим на пункт ниже — Резервирование адресов .
Добавляем три устройства доступ которым мы не будет ограничивать по времени.
Нажимаем кнопку Добавить и заполняем поля в Изображение 3. Резервируем IP адрес за определенным устройством.
Изображение 2. Резервируем IP адреса за определенными устройствами
Нажимаем кнопку Добавить и в появившееся окно вписываем MAC адрес первого устройства, в примере: 10-3B-59-8A-EE-0A, закрепим за этим устройством адрес 192.168.0.10 (можем выбрать любой в диапазоне от 192.168.0.2 до 192.168.0.254 , IP адрес 192.168.0.1 — уже закреплен за роутером TP Link).
Выбираем Состояние — Включено , что бы резервирование заработало.
Изображение 3. Резервируем IP адрес за определенным устройством
Таким образом в данный список добавляем все устройства, которые должны иметь нелимитированное время пребывания в интернете. (см. Изображение 2. Резервируем IP адреса за определенными устройствами ).
В примере добавлено 3 устройства.
Включение защиты и настройка фильтрации IP-адресов
Переходим на пункт Межсетевой экран и ставим галочки напротив:
- Включить Межсетевой экран
- Включить Фильтрацию IP-адресов
- Запретить пакетам, не указанным в правиле фильтрации, проходить через маршрутизатор
Без включения первого пункта роутер не может использовать какие-либо виды фильтрации, даже если они отмечены «галочкой».
Второй пункт задействует нужную нам в уроке — IP фильтрацию .
Изображение 4. Включение Межсетевого экрана и IP фильтрации
Третий пункт, позволяет нам использовать «белый список», т.е. в моем случае разрешить нелимитированный доступ только указанным устройствам, которых у меня всего 3 из 12. В случае если у вас 12 устройств и всего одному из них нужно ограничить доступ, стоит настроить вариант Разрешить доступ к Интернет данным компьютерам, указанным во включенных правилах.
Нажимаем Сохранить
.
Изображение 5. Добавление правил фильтрации IP адресов
Переходим к пункту Фильтрация IP-адресов , нажимаем кнопку Добавить .
Создаем первое правило, описывающее 3 разрешенных устройства.
- Рабочее время (Время действия правила) с 00 часов 00 минут, до 24 часов 00 минут, т.е. круглые сутки
- IP-адрес в сети LAN. Указываем зарезервированные адреса устройств «белого списка», т.к. я назначал адреса идущие подряд, я могу указать сразу диапазон 192.168.0.10 до 192.168.0.13 (на самом деле нужно до 192.168.0.12, т.к. устройств всего 3, опечатка на Изображении 6 )
- Действие — Разрешить.
Указанное время я Разрешаю доступ для Указанного диапазона IP адресов .
С 00 часов 00 минут до 24 часов 00 минут , устройствам с адресами 192.168.0.10, 192.168.0.11, 192.168.0.12, 192.168.0.13 — роутером Разрешается доступ к сети Интернет.
Изображение 6. Добавление правила для «белого списка»
Создаем второе правило правило, описывающее все остальные (детские) устройства.
- Рабочее время (Время действия правила) с 07 часов 00 минут, до 22 часов 00 минут
- IP-адрес в сети LAN. Не указываем, это означает, что используется весь возможный диапазон адресов
- Действие — Разрешить.
Логически созданное правило — звучит: в Указанное время я Разрешаю доступ для всех IP адресов .
С 07 часов 00 минут до 22 часов 00 минут , Любому устройству — роутером Разрешается доступ к сети Интернет.
Изображение 7. Добавление правила ограниченное время интернета для всех устройств
Проверяем корректное создание правил, сравниваем адреса и время ограничения.
Логически роутер проверяет:
- Если Время любое , а адреса устройств совпадают от 192.168.0.10 до 192.168.0.12 , то Разрешаем доступ , не проверяя последующие правила
- Если адреса из первого пункта не совпали с «белым списком», то Разрешим доступ , Любому устройству нашей сети если сейчас промежуток времени с 7 утра до 10 вечера , не проверяя последующее правило
- Если оказалось, что устройство не из «белого списка» (пункт 1) или текущее время с 22-00 вечера до 7-00 утра — запрещаем доступ всем.
Изображение 8. Проверка правильности правил
Поздравляю, самая сложная часть — создание правил — успешно выполнена!
Перезагрузка роутера для принятия изменений
Чтобы изменения вступили в силу — перезагружаем роутер.
Выбираем раздел Системные инструменты , пункт Перезагрузить .
Изображение 11. Перезапуск роутера
Маршрутизатор перезагружается, можете проверить работу правил фильтрации (если наступило указанное вами время), так же рекомендую перезагрузить(или переподключить к интернету) устройства из «белого списка», чтобы произошло обновление IP адресов и роутер присвоил этим устройствам зарезервированные за ними адреса.
Если данная статья вам помогла и вы хотели бы в ответ помочь проекту сайт, поделитесь этой статьей с другими:
Родительский контроль. Как ограничить ребенку доступ к Интернет, по времени. . Последнее изменение: 2018-09-23 от Юн Сергей
